Como se ha demostrado, varios conceptos que se definen fuera del artículo 5 del RGPD son relevantes para la comprensión del principio de limitación del almacenamiento. Se trata, en particular, de los siguientes:

• Identificación directa e indirecta definida en el Art. 4(1) delRGPD,
• la seudonimización que se define en el Art. 4(5) del RGPD, y
• datos anónimos que se definen en el considerando 26 del RGPD.

En el Art. 11(1), el RGPD establece:

Si los fines para los que el responsable del tratamiento trata los datos personales no requieren o ya no requieren la identificación de un interesado por parte del responsable del tratamiento, éste no estará obligado a mantener, adquirir o tratar información adicional para identificar al interesado con el único fin de cumplir el presente Reglamento.

Esto orienta sobre la importancia que tiene el principio de limitación del almacenamiento en comparación con otros conceptos del RGPD: La limitación del almacenamiento tiene una clara precedencia sobre otras obligaciones del RGPD en el sentido de que un responsable del tratamiento no recogerá ni almacenará identificadores con el único fin de cumplir con estas obligaciones.

En el apartado 2 del artículo 11 del RGPD^[1], esto se establece explícitamente para las obligaciones de los derechos de los interesados de los artículos 15 a 20:

Cuando, en los casos mencionados en el apartado 1 del presente artículo, el responsable del tratamiento pueda demostrar que no está en condiciones de identificar al interesado, el responsable del tratamiento le informará de ello, si es posible. En tales casos, no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos de ejercer sus derechos con arreglo a dichos artículos, proporcione información adicional que permita su identificación.

Además, el RGPD destaca la importancia de la seudonimización en diversos contextos:

El art. 89(1) subraya la importancia de la seudonimización para el caso de que, tras cumplir los fines iniciales, los datos se sigan tratando para “fines compatibles”^[2]. En particular, “los fines de archivo de interés público, los fines de investigación científica o histórica o los fines estadísticos no se considerarán incompatibles con los fines iniciales, de conformidad con el apartado 1 del artículo 89″^[3]. Art. 89(1) del RGPD (2ª frase) ordena explícitamente que, para este tratamiento ulterior, “es necesario establecer medidas técnicas y organizativas y enumera la seudonimización como único ejemplo de tales medidas (3ª frase).Además, establece (frase 4): “Cuando esos fines puedan cumplirse mediante un tratamiento posterior que no permita o deje de permitir la identificación de los interesados, esos fines se cumplirán de esa manera”. Esto parece ser una aplicación directa del principio de limitación del almacenamiento.

El art. 6(4)(e) subraya además el papel de la seudonimización cuando un responsable del tratamiento determina si un propósito adicional es compatible con los fines para los que se recogieron los datos.

El art. 25(1) enumera la seudonimización como único ejemplo de medida que puede aplicarse durante la protección de datos por diseño.

También el Art. 32(1)(a) enumera la seudonimización junto con el cifrado como medida de apoyo a la seguridad. Aunque esto subraya aún más la importancia de la seudonimización y, por tanto, de la limitación del almacenamiento, cabe preguntarse, sin embargo, si la seudonimización apoya realmente uno de los objetivos de protección comunes de la seguridad informática, a saber, la confidencialidad, la integridad y la disponibilidad.

 

 

1. Véase también el art. 12(2) del RGPD que analiza más a fondo este caso. ↑
2. Véase el art. 5(1)(b) del RGPD. ↑
3. Redacción tomada del Art. 5(1)(b) del RGPD. ↑